Google ha comenzado a implementar nuevas funciones de protección en la API Play Integrity por las que una aplicación procedente de la descarga lateral podrá bloquearse y solicitar a los usuarios que la instalen desde Google Play para permitir su funcionamiento y asegurar su legitimidad.
La descarga lateral es una práctica que hace referencia a la instalación de aplicaciones que son compatibles con el dispositivo, en este caso Android, pero que no están necesariamente aprobadas ni supervisadas por la tienda de aplicaciones de la plataforma del dispositivo, como es Play Store.
Se ha de tener en cuenta que la descarga lateral de aplicaciones puede tener consecuencias negativas para los usuarios, como un mal funcionamiento u otros riesgos de seguridad. Por ejemplo, al tratarse de versiones modificadas, pueden incluir errores de código, al utilizar una versión inadecuada para el dispositivo en cuestión o al incluir algún tipo de actividad fraudulenta.
Además, con este sistema los desarrolladores tienen menos control sobre sus aplicaciones descargadas, ya que, por ejemplo, no cuentan dentro de las métricas de Play Store.
Para controlar la descarga lateral, los desarrolladores pueden hacer uso de la API Play Integrity, un sistema que analiza las aplicaciones y ofrece una serie de señales de integridad para ayudar a detectar «tráfico potencialmente de riesgo y fradulento» o un uso no habitual. Este tráfico puede provenir de versiones modificadas de sus aplicaciones, así como de dispositivos u otros entornos no fiables.
De esta forma, tal y como indica la compañía en su blog de Desarrolladores de Android, cuando la API detecta interacciones potencialmente peligrosas o fraudulentas, el servidor de 'backend' de la aplicación «puede tomar las medidas adecuadas para evitar los ataques y reducir los abusos», como, por ejemplo, bloquear la aplicación.
En este sentido, en el marco del evento Google I/O 2024, celebrado en mayo de este año, la tecnológica anunció que comenzaría a introducir nuevas formas de detectar problemas con las aplicaciones instaladas en los dispositivos Android. En concreto, facilitando a los desarrolladores la verificación y la adopción de medidas para frenar la descarga lateral de aplicaciones.
Ahora, la API Play Integrity ha comenzado implementar estas nuevas funciones y, tal y como ya explicó Google durante una sesión técnica, los desarrolladores pueden verificar si la cuenta de un usuario que haya descargado su 'app' tiene licencia o no. En caso de que no tenga licencia, significa que la aplicación no se ha instalado desde Google Play.
Si se da este caso y hay algún problema con el veredicto de identidad, los desarrolladores pueden solicitar a la API Play Integrity que bloquee la aplicación y, tras ello, que muestre un cuadro de diálogo en el que se solicita al usuario que descargue la aplicación desde Google Play para continuar utilizándola.
Así lo ha compartido el analista Mishaal Rahman, a través de Android Authority, y algunos usuarios a través de Reddit, quienes ha tenido acceso a esta nueva opción de la API Play Integrity al intentar utilizar una aplicación de descarga lateral.
Según ha señalado Rahman, si el usuario acepta la solicitud del cuadro de diálogo, se abre una pantalla en la que se da la opción de 'Instalar desde Play'. Una vez se instala la aplicación desde la tienda de Google, la versión anterior de la aplicación queda eliminada del dispositivo, junto con todos los datos asociados.
Por el contrario, en caso de que el usuario no acepte la solicitud, la API puede continuar bloqueando el uso de la aplicación en cuestión. Con todo ello, Google busca proteger a los usuarios de aplicaciones fraudulentas o con fallos, al tiempo que pretende ofrecer a los desarrolladores más control sobre sus aplicaciones.